sccm解决方案.docx
《sccm解决方案.docx》由会员分享,可在线阅读,更多相关《sccm解决方案.docx(12页珍藏版)》请在冰豆网上搜索。
sccm解决方案
问题分析
随着企业应用规模和用户规模的不断扩大,IT日常运维的工作量和压力也急剧攀升。
目前IT运维部门必须花费大量的精力来做计算机软硬件的资产管理、配置管理、软件和补丁的分发和其他许多相关的桌面端技术支持工作。
由于桌面端的用户数量非常大,用户办公地点比较分散,移动用户较多,如果采用传统的人工管理手段,效率非常低且无法取得最佳的效果。
并且IT部门无法准确了解和掌控桌面端系统运行状况,比如软硬件配置、安全补丁的部署情况、许可证使用情况等等,也不能统一分发安全策略,从而给整个办公网络系统运行带来许多现实和潜在的风险。
此外,IT运维人员的大量时间和精力都用于应付这些日常的重复性的管理维护工作,也不利于集中精力从更高和更宏观的层次来研究和推动办公网络系统的进一步发展,一定程度上减缓了办公网络系统不断迈上新台阶的步伐。
总体功能需求
SCCM2007提供了集中式修改与配置管理解决方案,以帮助组织机构针对由基于Windows操作系统的PC设备构成的各种规模的部署方式进行管理。
SCCM2007将可从一个或多个集中式管理员控制台为下列功能提供支持:
资产目录:
硬件资产管理与配置跟踪
应用部署和补丁更新:
软件与配置修改部署
软件计量:
监控软件使用情况
故障排除:
远程技术支持
报告:
针对详细系统与服务报告的访问调用能力
技术支持将可在无需与最终用户进行交涉或向远程位置派遣IT人员的前提下实现提交。
这就允许在将IT支持人数控制在最低水平的前提下针对大量基于Windows操作系统的PC设备实施集中管理。
以下章节将对已被添加到SCCM2007中的每种关键特性进行详细介绍,主要描述它们在先前设定的情境中所能解决的问题。
1.1 资产目录
基于所有受控计算机的软件和硬件均可被SCCM2007尽数收入目录。
各种各样的报告将基于结果数据生成,以帮助组织机构制定软件升级计划,跟踪计算机与软件资产,或检查软件许可证的有效性。
举例来说,在部署某个新软件包之前,管理人员可能需要编制一份报告,以便显示具备足以为相关应用提供支持的内存与磁盘空间的目标PC设备数量。
这就允许那些不符合要求的系统在部署开始前得到升级,从而,确保实现较高的项目整体成功率。
从Windows98开始就已被内建于Windows操作系统的Windows管理规范(WMI)提供了组成扩展使用情况的信息。
SCCM2007将借助最新版本的WMI(1.5版)提供内容尽可能丰富的系统数据集(包含BIOS、主板和封装数据)。
管理人员可从700多个系统数据类别中自行指定需要在目录扫描期间被记录下来的对象,以便帮助组织机构在性能表现与目录深度两者间做出权衡。
SCCM2007中的新选项为管理人员提供了针对所需接受扫描的文件加以控制的更多手段,允许每个组织机构在扫描操作过程中对软件目录范围与客户端处理器工作负载之间做出权衡:
通配符可供用来将目录搜索控制在特定文件或文件根范围内,以尽可能降低所需检索的数据量,并减轻对受控设备造成的影响。
软件目录可对指定文件夹和驱动器执行扫描,并使用环境变量在不同计算机之间划定搜索范围,以便对数据收集进程实施优化。
目录可将安装状态与重要更新数据库进行对比,以便指示出那些确需安装但尚未部署到特定计算机的重要软件修补程序。
|||
目录可报出已在添加/删除程序中注册或已由Windows安装服务安装的软件产品。
这是一个基于文件目录的理想检查点,可提供关于已安装应用程序的精确描述,而不仅限于计算机上存在的文件。
SCCM2007目录引擎还可由那些希望扩充本地WMI数据集的管理人员实施扩展。
管理人员能够编写脚本或可执行文件,以便将源自Windows注册表、配置文件或应用接口的更多信息添加至目录扫描范围。
与非Windows项目有关的资产信息(如计算机租赁、扫描仪、复印机、传真机或人力资源数据)还将被作为SCCM2007目录数据集的组成部分加以存储。
1.2 软件分发
SCCM2007特性集的一项关键优势一直是该产品针对基于Windows操作系统之桌面计算机、笔记本电脑和服务器的强大而灵活的软件部署支持。
管理人员可基于中央控制台在将软件包部署至遍布网络系统的目标计算机时对它们执行封装、复制、定位、推荐和跟踪。
软件包还可在允许最终用户干预或无需最终用户干预的情况下实现部署,而任何IT支持人员均不必亲身前往目标系统。
无论软件产品是像WindowsXPProfessional这样的操作系统、像MicrosoftOffice这样的完整应用套件,还是由第三方厂商提供或自行编写的日常商务应用,亦或较为重要的Windows系统更新,SCCM2007均可借助简单易用的界面、向导以及与操作系统服务之间的高度集成大幅降低确保软件处于即时更新状态所需付出的工作量。
举例来说,管理人员可借助SCCM2007将一个新的服务软件包部署至公司范围内基于WindowsNT操作系统的所有服务器。
安装服务软件包所必需的源文件被首先复制到遍布全球的SCCM2007站点,这有可能借助非高峰时段内的网络WAN链接得以实现。
而软件包的实际安装则可被安排在非高峰时段分别针对全球范围内的每个办公机构执行。
每台计算机均可利用网络系统上距离最近的拷贝执行服务软件包安装操作,并将由此产生的网络流量控制在最低水平。
在战略位置以本地方式部署SCCM2007并配备多种带宽管理特性的分布式体系结构允许在不会导致网络超负荷运转、关键业务通讯中断或为用户带来不便的前提下轻而易举地将软件部署至规模极大的应用环境。
状态报告允许管理人员在任何安装问题发生的第一时间对它们做出突出标识,并在此基础上迅速采取补救措施避免出现类似故障,从而,为大规模部署方式提供更高水平的援助支持。
软件封装
在借助SCCM2007实施软件分发之前,管理人员必须首先生成包含所需部署文件、目标系统配置集合以及安装过程中所需执行之任何脚本化操作在内的软件软件包。
SCCM2007针对软件部署需求提供了大量应用程序封装选项。
其中,最简单的选择就是针对已借助Windows安装服务技术完成封装的应用程序加以运用。
数以千计的第三方软件应用程序都采用了Windows安装服务技术,并可供SCCM2007直接运用。
不仅如此,SCCM2007管理人员既可直接对Windows安装服务定义加以修改,又可从多种第三方工具中任选其一对应用安装选项进行定制化处理。
将Windows安装服务软件包用于部署任务的某些关键优势如下:
自我修复:
在已安装文件受损或遭到删除的情况下,应用程序将自动获得修复。
适时安装:
管理人员通常希望最初只提交某一应用程序的核心组件,除核心组件外的其它特性则将在用户首次发出调用请求时补充到位。
管理人员将通过这种方式尽量降低初始安装操作对网络系统的影响,并将每台目标计算机上的客户端磁盘占用量控制在最低水平。
转出/重启:
在某些情况下,安装操作将在完成之前以失败告终,这可能归因于计算机系统状态在安装过程中发生的变化。
如果这种故障发生,Windows安装服务将明确保留已经完成的安装步骤,撤消部分安装操作,并将目标系统返回到某个已知工作状态。
Windows安装服务将为这些特性提供本地支持。
当然,在与SCCM2007配合使用的情况下,Windows安装服务功能还将提供下列安装特性:
添加/删除程序集成。
推荐软件将在“添加/删除程序”中得到注册,以便为希望安装可选软件包的用户提供简单明了的应用界面。
增强权限安装。
个别应用程序还可在安装过程中借助多个安全账户环境实现安装。
需要具备本地管理权限的操作步骤(如安装驱动程序)将凭借增强权限得到执行,而与用户相关的步骤(如创建快捷方式、修改个人配置)则应在目标用户安装环境中得到执行。
|||
软件包自动生成。
由于Windows安装服务格式包含与软件安装方式相关的丰富信息,因此,SCCM2007将可轻而易举地导入所需全部信息,以便生成上述软件包逻辑。
管理人员目前只需将SCCM2007指向某个Windows安装服务文件,即可凭借SCCM2007完成部署。
如果Windows安装服务软件包格式并不适用于某个应用程序,那么,还有多种替代选项可供使用:
1) 重新封装为MSI文件。
SCCM2007Installer工具可供用来对基于某台参照计算机的非Windows安装服务进程实施监控,并相应生成可提交相同最终结果的Windows安装服务软件包。
2)重新封装为SCCM2007Installer文件。
虽然管理人员可选用与上述方法相似的操作程序,但仍可生成一个本地SCCM2007Installer可执行文件包(setup.exe),以便在提供增强型SCCM2007状态报告支持的前提下重新实现初始安装。
3)创建定制化安装脚本。
管理人员可借助SCCM2007Installer工具从头编写利用本地脚本支持特性的安装操作脚本。
这种供选方式还提供了较为丰富的SCCM2007状态集成特性。
4)使用旧版安装系统。
SCCM2007可供用来将初始软件包传输至所有位置,并在每台目标计算机上启动所需命令行(如“setup.exe/s/u”)。
定位
SCCM2007配备了多种选项,可供对某个软件包应被定位于哪些用户或计算机进行精确设定。
管理人员可对下列属性进行有机组合,以便生成目标计算机和用户定义:
5)确切的用户、计算机或组名
6)硬件目录数据
7)软件目录和使用情况数据
举例来说,SCCM2007可供用于将一个新的企业电子表格模板分发给计算机上已安装了MicrosoftExcel2000(或更高版本)并具备足以为新模板加载提供支持的可用磁盘空间及内存容量的全体财务部门成员。
图1.以工作组为目标的软件分发
1.3 ActiveDirectory集成
ActiveDirectory支持与SCCM2007之间的高度集成将允许管理人员根据组织单位成员资格、用户组、计算机组乃至MicrosoftExchange2000分发列表等非安全对象进行软件部署定位。
这种ActiveDirectory支持的实现途径为:
发现与目录附带之所有用户和计算机相对应的对象成员资格,并将这些成员资格作为属性添加到由SCCM2007数据库存储的目录数据当中。
管理人员将可通过与硬件或软件目录属性使用方法完全相同的途径借助这些ActiveDirectory属性创建目标集合。
|||
管理人员可对ActiveDirectory搜索进程实施定制化处理,选择不同日程计划,并将所需执行搜索的ActiveDirectory层级组成部分纳入定位范围。
这种粒度控制将确保目录整体性能不会受到搜索进程的重大影响。
SCCM2007还可借助ActiveDirectory面向网络系统上的客户端发布特定SCCM2007服务与服务器所处位置。
SCCM2007能够将ActiveDirectory用作定位服务,并在此基础上简化客户端操作,并尽可能降低客户端服务搜索期间产生的网络流量。
此外,SCCM2007站点界限可在逻辑上与ActiveDirectory站点定义相对应。
ActiveDirectory站点定义特性允许管理人员使用子网通配符定义站点边界,这就允许将覆盖面较大的IP地址轻松集成到SCCM2007站点界限集合当中。
图2.基于ActiveDirectory组织单元的SCCM2007集合(或组)。
1.4 网络管理
网络管理选项一直是SCCM2007早期版本的关键特性。
用户可凭借早已获得支持的站点间广域网(WAN)带宽管理特性对客户端与服务器之间的最新网络流量控制功能加以充分利用。
尽管固定式局域网(LAN)环境具备自身优势,然而,在由通过低速拨号连接方式上网的用户使用的情况下,这些新式带宽管理功能却可显示出极其强劲的效能。
举例来说,出差在外的员工可利用传输速率为56Kbps的拨号调制解调器连入企业网络,并查找最近更新且必须立即下载并安装的公司销售数据库。
刚刚更新的数据库软件包可能具有10MB容量,而用户还需要在下载过程中将RAS链接用于电子邮件收发或Web浏览等其它目的。
由于每个应用程序都将使用RAS链接,因此,软件下载进程将被挤到后台,其所占用的带宽资源也会相应降低。
如果用户在下载进程完成前终止拨号会话,那么,这个下载进程就会在用户下一次与企业网络建立连接时接续执行。
最后,整个数据库软件都将被下载至本地计算机,而下载进程则可能跨越若干天中的多次拨号会话期。
下载进程一旦完成,SCCM2007便会启动与销售数据库软件相关的安装指令。
移动带宽管理
后台智能传输服务(BITS)已被内建于WindowsXP,并可被添加至基于Windows2000操作系统的计算机。
而针对这种技术手段的实际应用则促使AdvancedClient带宽管理功能得到了显著增强。
BITS文件转换器基于符合行业标准的HTTP协议,可为服务器与客户端之间的文件下载或上载提供检查点重启机制。
这种技术手段主要以WindowsUpdate服务所使用的框架为基础,该框架目前正以每月6,000万次的调用频率为网络下载请求提供伺服。
由BITS添加到SCCM2007AdvancedClient当中的关键功能特性包括:
检查点/重启。
一度被中断的客户端文件下载进程将可随网络连接的重建实现断点续传。
后台传输。
SCCM2007客户端-服务器流量将随其它应用程序流量的启用被挤到后台,与之相关的带宽占用量也将在所有传输进程执行期间接受大幅度调整。
|||
下载与执行模式。
许多客户希望将源软件包下载至本地计算机。
这就允许检查点/重启特性在安装开始前对已存在于客户端计算机上的软件组成部分进行检测,并帮助用户充分利用Windows安装服务效能执行自我修复和适时安装。
SCCM2007将允许管理人员以这种方式操作软件包,从而,为分散在不同地点的用户提供适当的软件。
管理人员应注意,在AdvancedClient与SCCM2007之间任一方向上的所有网络流量均处于带宽控制之下。
这将确保目录数据、软件使用状况数据和状态信息不会在向SCCM2007传送的过程中发生梗阻。
SCCM2007站点服务器之间的带宽管理
SCCM2007还有助于改善站点服务器之间的通信效果。
需要特别指出的是,针对SCCM2007站点之间的所有通信流量进行的节流与调度将确保指定带宽资源只会在一天当中的指定时段接受调用。
虽然SCCM2007的早期版本就已为这种特性提供支持,但是,SCCM2007却以名为增量软件包复制的新特性对这种功能进行了扩展。
增量软件包复制特性可在无需再次传送整个更新软件包映象的前提下,在站点间对软件包修改内容进行复制。
与早期发布版本相似,SCCM2007200可为由跨越远程地理位置的多个SCCM2007站点组成的分层式体系结构提供支持。
这种层级化方法可实现“扇出式”软件分发,也就是可将站点间重复传输控制在最低水平的跨WAN链接软件包路由操作。
1.5 报表
SCCM2007提供了包含120多种预建报告模板在内的Web报告服务,以及在管理人员控制下利用自定义报告对上述预建报告进行扩展的选择。
已经提供的标准报告涉及多种目录、软件使用活动和SCCM2007操作选项。
SCCM2007还可为仪表板特性提供支持,从而,允许IT支持人员将最具实用价值或工作效能的报告插入SCCM2007操作的单一“智能化显示”。
SCCM2007Web报告服务还提供了深层挖掘特性,用户只需在自己感兴趣的报告中点击某一行,即可进一步调阅底层报告。
每个底层报告均可为管理人员提供更多详细信息,直到关于单个计算机或用户的完整目录信息被全部显示出来。
图3.从Web浏览器中查看计算机目录
一个菜单将显示所有预定义报告,其内容涉及从WindowsXP升级就绪状态到那些需要一或多个关键更新软件包的计算机。
1.6 软件计量|||
管理人员可将SCCM2007配置为针对软件应用程序使用情况进行跟踪的状态。
这里所说的软件应用程序是指由处于联网和脱机状态的全部受控计算机用户使用的对象。
管理人员将通过SCCM2007AdministratorConsole(管理员控制台)创建计量规则,以便对其希望跟踪的任何可执行文件实施监控。
这样一来,即使在与企业网络断开连接的情况下,受控计算机仍可记录软件使用状况,并按预先设定的日程计划或在下一次建立连接时将使用情况报告上载至SCCM2007站点。
图4.应用程序使用情况可以接受跟踪。
来自网络上所有计算机的软件使用情况数据将被存储在站点数据库当中,并可供与软件目录数据进行校对。
为防止软件使用情况数据充塞SQL数据库,这种数据将定期接受精简处理,以便将个别使用情况记录合并为汇总应用程序记录。
SCCM2007站点管理员具备针对上述进程加以配置的完整权限。
软件计量子系统已在SCCM2007中接受了全面重建,其性能表现已得到显著改善,并实现了计量用户界面与SCCM2007管理控制台和报告系统的全面集成。
1.7 故障排除
管理人员和技术支持人员可借助SCCM2007配备的工具和特性以远程方式排除发生在受控系统上的故障。
除诊断工具外,基于Web的报告服务还可提供针对当前系统配置数据和近期修改调整的访问调用服务,这一点是非常难能可贵的。
此外,SCCM2007的软件分发功能将允许管理人员在无需最终用户干预的前提下卸载并重装应用程序。
故障排除工具主要包括:
资源管理器。
这种工具允许管理人员在目录数据库中查询受控系统当前配置状态,即使目标计算机处于脱机状态。
针对目标计算机配置的近期修改将可被检测到。
远程控件。
SCCM2007固化远程控件主要以选项方式包含在两种SCCM2007客户端代理中,允许管理人员轻而易举地同远程SCCM2007客户端屏幕、键盘和鼠标建立连接。
SCCM2007还可借助该平台所具备的远程援助特性为通往基于WindowsXP之远程计算机的连接提供支持。
SCCM2007远程控制客户端还可被用于下层受控客户端。
针对上述远程控制特性的访问调用服务将通过用户安全权限接受控制,以确保只有授权操作人员才能对远程计算机执行访问调用。
远程对话。
管理人员可通过远程工具应用程序启动与任何用户之间的文本对话进程。
文件传输器。
在使用SCCM2007RemoteTools(远程工具)的情况下,文件对象将可直接基于远程系统接受管理。
文件既可被复制到基于远程系统的特定位置,又能从基于远程系统的特定位置实现下载。
常规操作系统用户安全权限在此适用。
|||
远程执行。
需要在远程系统上执行的指令将可从SCCM2007RemoteTools(远程工具)中实现发送。
网络监视器。
网络监视器可从本地和远程受控系统的网络适配器上捕捉、解码并显示数据包。
网络跟踪。
网络跟踪工具可迅速生成一张简单图表,以显示围绕SCCM2007AdministratorConsole(管理员控制台)所选受控SCCM2007站点服务器展开的网络拓朴结构。
网络跟踪工具还可通过展现设备依赖关系的方式简化调试任务。
产品优势
更强的伸缩性与更高的性能表现
SCCM2007的分布式、层级化设计理念允许该产品针对规模最大的分布式Windows环境实施管理。
SCCM2007已在众多由数十万个受控节点组成的机构中得到采用。
每个受控环境均可通过SCCM2007站点层次结构接受管理,而它们中每一个则是由一或多个运行SCCM2007软件的服务器组成。
软件包等内容可借助前述带宽管理特性被复制到站点服务器之间的层级结构。
全局伸缩性(远程地理分布站点管理)可通过从战略角度出发将SCCM2007站点置于受控客户端所处任何位置的途径得以实现。
而添加服务器以便在单个站点位置上共享大规模客户端群体负荷的做法则有助于实现本地伸缩性。
简易安装与操作
SCCM2007的关键优势之一,就是将该产品投入实际应用所需花费的计划、部署和启动时间相当短暂。
IT部门在从产品部署中看到实际价值之前,并不需要进行广泛的定制化工作。
这种快速投资回报在很大程度上归功于SCCM2007与其所管理操作系统之间的高度集成化水平。
由于SCCM2007自开发伊始就以管理基于Windows的系统为目标,因此,该产品将可对内建于Windows操作系统的大量功能特性(如Microsoft管理控制台和InternetInformationServer)加以充分利用。
当然,任何管理系统的部署都需要一定的规划工作;IT环境的规模越大、复杂程度越高,系统规划阶段所需占用的时间就越长。
然而,SCCM2007在典型环境下所需占用的规划与部署时间明显短于同一领域内的其它软件产品。
得到简化的部署
图形化安装向导将带领管理人员完成SCCM2007安装进程,并自动检测所需服务和前提条件是否齐备(例如,是否已存在适用服务软件包或SQLServer™2000数据库系统)。
举例来说,如果ActiveDirectory已经存在,那么,SCCM2007便会对其执行检测,并提示对所需定位服务加以配置。
简便易用
SCCM2007将对Microsoft管理控制台加以全面利用,并通过与其它Windows管理工具相一致的格式提供管理功能。
管理人员可逐级展开树状界面,以便对高级或低级选项执行访问调用。
针对每个用户界面(UI)节点的访问调用将通过安全凭据接受控制,以便针对不同管理角色创建定制化控制台。
向导程序可供用来简化像软件包生成与分发这样的关键专用进程。
Web报告服务还降低了针对SCCM2007数据库所提供之丰富数据实施访问调用的难度。
脚本编程能力
SCCM2007基于管理用户界面实现的所有功能和任务还可通过脚本方式得到执行。
这就允许创建一个脚本库,以实现常规业务与管理进程的自动化(例如,每周向全体销售人员分发经过更新的公司销售价目表)。
安全性
SCCM2007虽然简化了为受控系统和软件提供安全保障所涉及的管理任务,但却在提高系统整体安全保障水平方面配备了了大量增强特性。
|||
误用防范能力
SCCM2007对内建于Windows操作系统的用户安全子系统加以全面运用,并在此基础上提供了针对误用行为的深层防御能力。
管理权限还可通过粒度化方式委派,以确保IT支持人员仅仅具备执行各自任务所必需的权限。
不仅如此,SCCM2007还能在可选“高级安全”模式下运行。
在这种模式下,所有
升级会员 